Jede Datei und jedes Verzeichnis hat einen Besitzer. Der Besitzer kontrolliert, welche Berechtigungen für seine Dateien und Verzeichnisse vergeben werden und kann anderen Benutzern Berechtigungen erteilen.
Beim Erstellen einer Datei bzw. eines Verzeichnisses wird die Person, die die Datei oder das Verzeichnis erstellt, automatisch der Besitzer. Es ist zu erwarten, daß die meisten Dateien auf Netzwerk-Servern von Administratoren erstellt werden, wenn sie zum Beispiel Anwendungen auf dem Server installieren. Die meisten Dateien auf einem Server befinden sich daher im Besitz von Administratoren, mit Ausnahme von Datendateien, die von Benutzern erstellt werden, und den Dateien in den Basisverzeichnissen der Benutzer.
Der Besitz kann auf folgende Weise übertragen werden:
Der aktuelle Benutzer gewährt anderen Benutzern faktisch Besitzrechte, indem er Gruppen oder Sonstigen die Schreibberechtigung für die Dateien oder Verzeichnisse gewährt. Dann können andere die Datei kopieren und "erben" damit das Besitzrecht an der Kopie.
Ein Administrator kann sich jederzeit zum Besitzer jeder Datei auf dem Computer machen. Wenn ein Mitarbeiter z. B. die Firma verläßt, kann der Administrator unabhängig von den vergebenen Berechtigungen frei auf die Dateien des Mitarbeiters zugreifen.
Ein Administrator kann sich zwar zum Besitzer machen, das Besitzrecht jedoch nicht an andere übertragen. Diese Einschränkung sorgt dafür, daß der Administrator verantwortlich bleibt.
Der Administrator kann auch mit Hilfe des Befehls net perms in den Besitz von Dateien gelangen. Weitere Informationen erhalten Sie, indem Sie an der SunLink Server-Befehlseingabeaufforderung net help perms eingeben.
Nicht nur Dateien und Verzeichnisse haben einen Besitzer, sondern auch Computerprozesse. Ein Computerprozeß wird initiiert, wenn ein Programm ausgeführt wird. Der Prozeß wird gegebenüber dem System mit einer eindeutigen Kennung identifiziert. In der Solaris-Umgebung wird diese Kennung als Prozeß-ID oder PID bezeichnet.
Im Gegensatz zum Besitzer von Dateien und Verzeichnissen ändert sich der Besitzer eines Prozesses jedesmal, wenn das entsprechende Programm ausgeführt wird. Ein Programm, wie z. B. eine Kalkulationstabelle, befindet sich anfangs im Besitz der Person, die es auf dem Netzwerk installiert hat. Das PID-Besitzrecht von Benutzern und Gruppen ändert sich jedoch, sobald ein Benutzer die Kalkulationstabelle ausführt. Der Kalkulationstabellenprozeß, der bei der Installation im Besitz von Root war, ist jetzt im Besitz des Benutzers und der Gruppe des Benutzers zum Zeitpunkt der Ausführung. Dies hat Auswirkungen auf die Sicherheit, und deshalb können Sie dieses Verhalten im Programm SunLink Server steuern.
Die Dateisperrung ist besonders in einer heterogenen Windows NT-/Solaris-Umgebung ebenfalls ein wichtiges Sicherheitsproblem. SunLink Server bietet dieselben Dateisperrungsfunktionen für Netzwerk-basierte Dateien und Verzeichnisse wie Windows NT, doch kann direkt von einem Solaris-Computerkonto aus auch auf gesperrte Dateien zugegriffen werden. Sie können dies in SunLink Server unterbinden, doch dies ist nicht standardmäßig eingestellt, da sich dadurch die Gesamtsystemleistung verringern kann. Wenn in Ihrem Netzwerk Benutzer von Windows NT- und Solaris-Client-Rechnern aus auf Dateien zugreifen, sollten Sie diese Einstellung ändern, damit die Windows NT-Dateisperrung auch beim Zugriff von Solaris-Konten aus gilt. Siehe dazu "So legen Sie Richtlinien für die Solaris-Dateisystemeinbindung fest".
Bei der Installation von SunLink Server werden Benutzer und Gruppen, die mit dem Programm SunLink Server zu tun haben werden, in die lokalen Kennwort- und Gruppendateien des Systems eingefügt. Wird an Ihrem Standort ein Solaris-Namensdienst wie NIS oder NIS+ in der Solaris-Umgebung verwendet, sollten Sie die Gruppeninformationen in die Namensdiensttabellen einfügen. Wird auf einem Computer unter Windows NT Workstation eine Datei erstellt und in ein Verzeichnis auf einem Solaris-System geschrieben, ist der Besitzer der Benutzer, der die Datei erstellt hat, und die Standardgruppe ist DOS---. Die Benutzerinformationen werden tatsächlich aus den Namensdiensttabellen abgerufen, aber die Gruppeninformationen werden nur richtig angezeigt, wenn das Auflisten der Datei auf dem SunLink Server-System selbst erfolgt (Standardabfrage: files nis). Werden diese Dateien von einem anderen Solaris-System aus angezeigt, wird die Gruppen-ID nicht richtig ausgewertet. Indem Sie die Gruppeninformationen in die Namensdiensttabellen einfügen, stellen Sie sicher, daß die Dateien auf dem lokalen System und in den Tabellen konsistent sind.